近日Cisco旗下的Talos安全情报与研究小组发现，企业版云端服务Google Apps for Work的信息隐私系统存在Bug，这个问题导致28万多名域名用户个人资料外泄。目前该漏洞已经被封堵。

Google Apps for Work是企业版Google Apps，提供包含专为企业设计的Gmail、行事历、云存储及Hangouts视频服务，也和合作方提供域名注册等服务。

研究人员指出，在2013年他们就发现有一批WHOIS资料库的用户资料曝光，曝光的信息除了域名外，还包含完整姓名、地址、电话号码及邮件位址。经过追查，这批资料均属于Google Apps for Work用户，他们通过eNom域名匿名服务公司注册域名。安全研究人员表示，在Google经由eNom注册的305,925个域名用户中，有282,867个，约94%的用户受到影响。

Google Apps失误泄露28万域名whois信息

域名管理机构ICANN要求用户注册域名时必须提供真实资料，以避免可能的所有权争议。而WHOIS即为储存所有用户注册资料的目录资料库，它预设为公开。不过用户可以多支付每年6美元通过eNom的服务隐藏自己的资料。

Google Apps失误泄露28万域名whois信息

Google已经向受影响的用户发出通知。Google解释，Google Apps用户信息选择域名隐私服务时，第一年并未包含在公开查询的WHOIS目录中，但由于Google Apps域名更新系统的软件问题，在用户第二年更新域名服务时，eNom的资料隐私注册服务未能及时跟进，导致自用户更新起，其注册信息就可在WHOIS目录上公开查询。Google已采取措施解决该问题。

安全研究人员指出，遭曝光的用户可能因为和域名注册系统相连而陷入某种危险，而其域名信息也可能被网络罪犯用于恶意用途，比如将受害者姓名、地址及电话加入到鱼叉式网钓邮件以增加可信度等。

Google对媒体表示，外泄信息仅为注册相关资料，并不会危及Google Apps for Work之中的信息。发生泄漏是因为Google Apps和Enom的域名注册程序接口之间出了问题，目前漏洞已经修复。

【点击进入“天极网企业频道”认证微博】